MacOS CryptoMining恶意软件的崛起

• 2019 年 10 月 8 日
• 筆記

前言

在我们对Cryptojacking进行介绍之后，让我们仔细看看目前macOS平台上的情况。

今年是繁忙的一年，来自SentinelOne，MalwareBytes，Digita Security甚至中国的macOS研究人员都发现了各种Cryptojacking恶意软件，与此同时苹果公司的App Store也被卷入进来，上架了一个带有隐秘挖矿程序的app，这些情况都说明，恶意软件和恶意软件分析师之间的对抗是永无止境的。

以下是我们目前所知重大事件的简要时间表：

趋势形成

一位来自SentinelOne的研究员于2017年11月首次对OSX.CPUMeaner进行了分析，这是来自SentinelOne的研究员在2017年发掘的第二个Cryptominer。

接下来是'CreativeUpdate'，因其在2018年初，被广为人知的第三方分销网络macupdate.com发布而得名。在它的其中一种形式中，木马伪装为一个盗版的Firefox。恶意软件把自己包装成一个正版的Firefox浏览器，其在伪装的时候，甚至还能进行更新。在这里，可执行文件（标为红色）是恶意软件，并且正版Firefox（标为绿色）的路径被包含在恶意软件的Resources文件夹中：

这意味着虽然在用户看来About菜单中正在运行的Firefox是最新版本，但在Finder中，其仅仅显示了恶意软件列表中的旧版本：

当正版Firefox继续执行用户的浏览任务时，恶意软件会运行脚本，来下载并安装Cryptominer和持久代理：

CreativeUpdate绝对不是唯一的，通过在VirusTotal上进行搜索，现在已经发现至少有23个旧的变体。

当然，上面提到的所有Cryptominers都被SentinelOne代理检测到并阻止了。

继续

2018年5月，OSX.ppminer首次出现在Apple Support Communities中。它的桌面启动器用Go编写，也称'Golang'，而miner则是用C编写的XMLRig的旧版本。桌面启动器选用Go语言很奇怪，这可能反映了作者的一些经历，作者曾经可能从事过诸如Ethereum或HyperLedger之类的区块链技术工作，其中Go语言由于其性能优势而成为目前较为受到欢迎的选择。

SentinelOne代理预执行检测到了OSX.ppminer：

中国恶意软件的研究人员在2018年8月公布了一个新发现的威胁。Cryptojackers又一次地针对那些想要下载盗版软件的人，如英雄联盟等游戏和MS Office等工具。在这种情况下，miner以一个名为SSLor或者SSL2.plist的可执行文件的形式出现，并且最终由隐藏在盗版软件包中名为AppleScript的小程序启动。

该木马在用户的LaunchAgent文件夹中安装两个项目，第一个是com.apple.Yahoo.plist，它实际上是一个编译的，“只运行”的AppleScript，而与它在属性列表中显示的不同。并且它会通过一个正版plist LaunchAgent，在被加载的状态下，每360天被执行一次，并用COM.Apple GooLe.PIST这个名字进行伪装。

程序参数显示，编码器对AppleScript和osascript并不是很熟悉，并且会错乱地通过AppleScript中的do shell script命令，用osascript调用它自己。

就像几个月前在App Store中发现的免费挖矿app：日历一样，SSL.plist使用了XMR-Stak池式挖掘机，并且可以促使CPU，AMD和NVIDIA GPU等一起来挖掘Monero，Aeon以及许多其他的Cryptonight货币。

与其他macOS的miner一样，在有效的管理策略的基础上，SentinelOne代理可以阻止，终止或隔离此威胁：

准备更多……

正如在其他平台上一样，Cryptojacking正在macOS上逐渐兴起。尽管我们认为Cryptominers并不像其他恶意软件那样会特别的危险，但它们可能会导致您的终端和网络出现性能问题，而且它们可能会消耗的电量，从而导致成本的上升。目前而言，它被用来利用您的资源来赚钱，Cryptojacking实际上就是另一种形式的盗窃和剥削。在这方面，非常让人讨厌的Cryptominers与任何其他类型的恶意软件一样，没有任何区别，就应当像对待恶意软件一样对待它。

原文链接：https://www.sentinelone.com/blog/macos-cryptomining-malware-rise/